Guia de implantação de autenticação da Web externa com switching local FlexConnect

Opções de download

  • PDF     (264.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (311.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (445.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de dezembro de 2017
ID do documento:113605

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento explica como usar um servidor web externo com switching local FlexConnect para políticas de web diferentes.

    Prerequisites

    Requirements

    Certifique-se de atender a estes requisitos antes de tentar esta configuração:

    • Conhecimento básico sobre a arquitetura e os access points (APs) FlexConnect

    • Conhecimento sobre como configurar e configurar um servidor Web externo

    • Conhecimento sobre como configurar e configurar servidores DHCP e DNS

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco 7500 Wireless LAN Controller (WLC) que executa o firmware versão 7.2.110.0

    • Access Point (LAP) Lightweight Cisco 3500 Series

    • Servidor Web externo que hospeda a página de login da autenticação da Web

    • Servidores DNS e DHCP no local para resolução de endereços e alocação de endereços IP para clientes sem fio

    The information in this document was created from the devices in a specific lab environment. Embora uma WLC 7500 Series seja usada para este guia de implantação, esse recurso é suportado nas WLCs 2500, 5500 e WiSM-2. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Conventions

    Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

    Visão geral do recurso

    Esse recurso estende a capacidade de executar a autenticação da Web para um servidor Web externo a partir do AP no modo FlexConnect, para as WLANs com tráfego comutado localmente (FlexConnect - Switching local). Antes do WLC Versão 7.2.110.0, a Autenticação da Web para um servidor externo era suportada para APs no modo Local ou no modo FlexConnect para WLANs com tráfego comutado centralmente (FlexConnect - Central Switching).

    Frequentemente conhecido como Autenticação externa da Web, esse recurso amplia a capacidade da WLAN de switching local do FlexConnect para suportar todos os tipos de segurança de redirecionamento da Web de Camada 3 fornecidos atualmente pelo controlador:

    • Autenticação da Web

    • Passagem da Web

    • Redirecionamento condicional da Web

    • Redirecionamento Condicional da Página de Apresentação

    Considerando uma WLAN configurada para autenticação da Web e para switching local, a lógica por trás desse recurso é distribuir e aplicar a ACL (Pre-Authentication FlexConnect Access Control List) diretamente no nível do AP em vez do nível do WLC. Dessa forma, o AP irá comutar localmente os pacotes provenientes do cliente sem fio permitidos pela ACL. Os pacotes não permitidos ainda são enviados pelo túnel CAPWAP para a WLC. Por outro lado, quando o AP recebe o tráfego sobre a interface com fio, se permitido pela ACL, ele o encaminha para o cliente sem fio. Caso contrário, o pacote será perdido. Quando o cliente é autenticado e autorizado, a ACL FlexConnect de pré-autenticação é removida e todo o tráfego de dados do cliente é permitido e comutado localmente.

    Observação: esse recurso funciona sob o pressuposto de que o cliente pode acessar o servidor externo a partir da VLAN comutada localmente.

    ewa-flex-guide-01.gif

    Resumo:

    • WLAN configurada para switching local FlexConnect e segurança L3

    • As ACLs FlexConnect serão usadas como ACLs de pré-autenticação

    • Depois de configuradas as ACLs FlexConnect devem ser enviadas para o banco de dados de AP por meio do Flex Group ou por meio do AP Individual, ou podem ser aplicadas na WLAN

    • O AP permite que todo o tráfego que corresponde à ACL de pré-autenticação seja comutado localmente

    Procedimento:

    Conclua estes passos para configurar este recurso:

    1. Configure uma WLAN para o FlexConnect Local Switching.

      ewa-flex-guide-02.gif

    2. Para habilitar a Autenticação da Web externa, você precisa configurar a Política da Web como a política de segurança para a WLAN comutada localmente. Isso inclui uma destas quatro opções:

      • Autenticação

      • Passagem

      • Redirecionamento condicional da Web

      • Redirecionamento da Web da página inicial

      Este documento captura um exemplo de Autenticação da Web:

      ewa-flex-guide-03.gif

      Os dois primeiros métodos são semelhantes e podem ser agrupados como métodos de autenticação da Web do ponto de vista da configuração. Os dois segundos (Redirecionamento condicional e Página inicial) são Políticas da Web e podem ser agrupados como métodos de Política da Web.

    3. A ACL FlexConnect de pré-autenticação precisa ser configurada, permitindo que os clientes sem fio acessem o endereço IP do servidor externo. O tráfego ARP, DHCP e DNS são permitidos automaticamente e não precisam ser especificados. Em Security > Access Control List, escolha FlexConnect ACLs. Em seguida, clique em Adicionar e defina os nomes e as regras como uma ACL de controlador normal.

      ewa-flex-guide-04.gif

      Note: Você precisará criar regras reversas para o tráfego cada vez.

    4. Uma vez criadas as ACLs FlexConnect, elas devem ser aplicadas, o que pode ser feito em níveis diferentes: AP, Grupo FlexConnect e WLAN. Esta última opção (Flex ACL na WLAN) é somente para autenticação da Web e passagem da Web para outros dois métodos em Política da Web, como Condicional e Redirecionamento de abertura. As ACLs só podem ser aplicadas no AP ou no Grupo Flex. Aqui está um exemplo de uma ACL atribuída no nível do AP. Vá para Sem fio > selecione AP e clique na guia FlexConnect:

      ewa-flex-guide-05.gif

      Clique no link External Web Authentication ACLs (ACLs externas de autenticação da Web). Em seguida, escolha a ACL para a ID de WLAN específica:

      ewa-flex-guide-06.gif

      Da mesma forma, para a ACL de política da Web (por exemplo, redirecionamento condicional ou redirecionamento de página inicial), você receberá uma opção para selecionar a ACL do Flex Connect em WebPolicies depois de clicar no mesmo link External WebAuthentication ACLs. Isso é mostrado aqui:

      ewa-flex-guide-07.gif

    5. A ACL também pode ser aplicada no nível do grupo FlexConnect. Para fazer isso, acesse a guia WLAN-ACL mapping na configuração do grupo FlexConnect. Em seguida, escolha a ID da WLAN e a ACL que deseja aplicar. Clique em Add. Isso é útil quando você deseja definir uma ACL para um grupo de APs.

      ewa-flex-guide-08.gif

      Da mesma forma, para a ACL de política da Web (para o Redirecionamento da Web de página condicional e de abertura), você precisa selecionar a guia Web Policies.

      ewa-flex-guide-09.gif

    6. A autenticação da Web e as ACLs flexíveis de passagem da Web também podem ser aplicadas na WLAN. Para fazer isso, escolha a ACL na lista suspensa WebAuth FlexACL na guia Layer 3 em WLAN > Security.

      ewa-flex-guide-10.gif

    7. Para a Autenticação da Web externa, o URL de redirecionamento precisa ser definido. Isso pode ser feito em um nível global ou no nível da WLAN. Para o nível de WLAN, clique na marca de seleção Over-ride Global Config e insira o URL. No nível global, vá para Security > Web Auth > Web Login Page:

      ewa-flex-guide-11.gif

      Limitações:

      • A Autenticação da Web (interna ou para um servidor externo) exige que o AP Flex esteja no modo Conectado. A autenticação da Web não é suportada se o AP Flex estiver no modo independente.

      • A autenticação da Web (interna ou para um servidor externo) só é suportada com a autenticação central. Se uma WLAN configurada para comutação local estiver configurada para Autenticação local, você não poderá executar a Autenticação da Web.

      • Todo o redirecionamento da Web é realizado na WLC e não no nível do AP.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos